Top.Mail.Ru
 
Статьи

Как 3CX Phone System решает проблемы безопасности в VoIP (часть 1)

Ломают все телефонные станции, и в большинстве случаев это человеческий фактор: кто-то поленился поставить пароль на абонента или поставил простой пароль (логин 100 и пароль 100, просто классика), или не закрыл нужный порт, например, доступ в админку.

Итак, посмотрим, как 3CX помогает обойти все эти грабли.

Активная безопасность


К активной безопасности условно относим модули, которые что-то делают в ответ на обнаружение каких-то признаков угрозы.

Antihacking – отслеживает параметры входящих запросов, анализирует их и если нуl; но ставит IP-адрес с которого эти запросы идут в «черный список». Параметры могут быть следующими:

  • Количество ошибочных аутентификаций – т.е. подбор пароля-логина ограничивается некоторым количеством попыток, после чего IP попадает в «черный список».
  • Количество запросов Register от атакующего хоста которые не получают продолжения, т.е. на АТС идут пакеты Register в одностороннем порядке, без ответа. Если указанный лимит превышен – в черный список.
  • Таймаут черного списка – время на которое IP-адрес будет блокирован. (секунды)
  • Три уровня счетчиков пакетов, зеленый / желтый / красный. Зеленый – станция ничего не делает, просто включает счетчик пакетов в заданный интервал, в миллисекундах. Желтый – продолжает считать пакеты в секунду, но при превышении 1000 пакетов с одного IP включается 5-секундная блокировка. Красный – при превышении порога больше не считает, а сразу отправляет IP-адрес в бан на время, указанное в таймауте.


Черный список


Вот так выглядит список попавших в черный список IP-адресов, в коллекции нашей АТС уже около 400 записей, в последнее время много забаненных адресов из США, но скорее всего это прокси.


Каждую из записей можно отредактировать.


Можно из «черного» списка перенести IP-адрес в «белый» или расширить диапазон блокировки до подсети.

Кстати, не редки случаи, когда «родное» оборудование из локальной сети попадает в «черный» список. Достаточно ошибиться в пароле или логине.

Разрешенные страны для международки


Родина, т.е. страна, в которой установлена IP-АТС, выбирается на этапе инсталляции. Позже можно расширить список разрешенных стран.


В случае срабатывания какого-либо из механизмов защиты, можно настроить уведомления на email. Кстати, факт входа в админку можно тоже фиксировать уведомлением.



Продолжение следует.